Mustafa KILINÇ Şükrü TİKVEŞ Turgay ÇELİK Danışman: Kerem ERZURUMLU

... konulu sunumlar: "Mustafa KILINÇ Şükrü TİKVEŞ Turgay ÇELİK Danışman: Kerem ERZURUMLU"— Sunum transkripti:

1 Mustafa KILINÇ Şükrü TİKVEŞ Turgay ÇELİK Danışman: Kerem ERZURUMLU
TCP/IP Ve NETFILTER TCP/IP, Ağ güvenliği ve NETFILTER kavramlarına bir giriş... Mustafa KILINÇ Şükrü TİKVEŞ Turgay ÇELİK Danışman: Kerem ERZURUMLU 11/19/2018

2 TCP/IP Ağ yapıları ve adresleme IP TCP Diğer protokoller
Kullanım alanları 11/19/2018

3 Ağ Yapısı ve Adresleme Birden fazla cihazın haberleşmesini sağlayan yapılardır İhtiyaca göre çeşitli biçimlerde bulunurlar Aynı veya farklı tür cihazlar bulunabilir Her cihazın en az bir adresi vardır Aynı fiziksel yapıda birden fazla mantıksal ağ (ve adres) bulunabilir 11/19/2018

4 Ağ Yapıları Ring Star Bus Hızı yüksek, fakat hata bağımlılığı fazla
Yerel ağlarda az kullanılıyor Genelde FDDI şeklinde kampus omurgalarında kullanılıyor Star Cihazlar merkezi bir “HUB” ile bağlı Bütün bilgiler cihazlarla “HUB” arasında gidip geliyor Cihaz ekleyip çıkarmak sorunsuz Genelde yerel ağlarda kullanılıyor. Bus Bütün cihazlar tek bir kabloya bağlı Geniş ağlarda kullanılıyor Sorun çıkma olasılığı yüksek 11/19/2018

5 Alt Ağlar Geniş ağlar, fiziksel veya mantıksal alt ağlara ayrılırlar
İki ağ arasında fiziksel birlikteliği sağlayan “köprüler” bulunur İki ağ arasında mantıksal birlikteliği ağ protokolü sağlar 11/19/2018

6 Internet Çok sayıda ağın birleşmesinden oluşur.
Internet'e bağlı tüm cihazların bir adresi vardır ve bu adreslerle herhangi diğer bir cihaza erişebilir. 11/19/2018

7 IP (Internet Protocol)
Internet'in temel ve vazgeçilmez protokolüdür ARPA NET için geliştirilmiş, genişleyebilme özelliği sayesinde, her yerde kullanılmaya başlanmıştır Yerel ve geniş ağlarda adresleme ve paket iletimini sağlar Çok sayıda üst ve alt protokol ile çalışır 11/19/2018

8 TCP İki nokta arasında güvenilir, bağlantı tabanlı veri transferini sağlar Adresleme ve yönlendirme ile ilgilenmez IP üzerinde çalışır Internet üzerindeki çoğu servis (FTP, WEB, POP3, NFS, X) TCP ile çalışır 11/19/2018

9 Diğer Protokoller UDP: Bir noktadan, güvenilir olmayan, “paket” transferini sağlar ICMP: IP tarafından hata ve bilgi mesajlarının taşınmasında kullanılır IGMP: Multicast (birden-çoğa) UDP transferi kontrolünde kullanılır ARP: IP adreslerinin donanım adreslerine çevrimini sağlar 11/19/2018

10 IP Adresleme Internet ve yerel TCP/IP ağlarına bağlı tüm cihazların bir “IP adresi” bulunur 11/19/2018

11 Yerel IP Adresleri Bir cihaz kendisi ile aynı yerel ağ üzerinde olan diğer cihazlara, direk olarak erişebilir 11/19/2018

12 Dış IP Adresleri Cihazlar kendi yerel ağlarında olmayan adreslere, önceden tanımlı bir “router” (yönlendirici) üzerinden erişirler. 11/19/2018

13 Geri Yönlendirme Bir router, iki farklı ağ arasında ileri ve geri taşıma yaptığı için, her iki ağda da tanımlı olmalıdır (her iki ağda da adresi olmalıdır). Router dahil tüm cihazların ayrı ağlardaki adresleri, birbirinden farklı olmalıdır. 11/19/2018

14 Ağ Maskesi Her cihaz kendi IP adresi ile beraber, bulunduğu ağ üzerindeki IP adreslerini de bilmelidir Bu amaçla IP adreslerinin ne kadarının ortak olduğunu belirten “Ağ Maskeleri” kullanılır. 11/19/2018

15 Özel Adresler Her ağın bir ağ adresi ve bir de “yayın” adresi bulunur
Ağ adresi ağı tanımlamada, Yayın adresi ağdaki tüm makinalara aynı anda erişmede kullanılır Ağdaki ilk adres ağ adresi, Son adres yayın adresidir 11/19/2018

16 Tanımlı Ağlar A tipi: Geniş ağlarda kullanılır. 16 milyon adres içerirler [1 – 126 ile başlar] B tipi: Büyük ve orta büyüklüklü ağlarda kullanılır. 65 milyon adres içerirler [128 – 191 ile başlar] C tipi: Küçük ağlarda kullanılır. 256 adres içerirler [192 – 223 ile başlar] D ve E tipi: “multicast” ve ayrılmış ağlardır 11/19/2018

17 Serbest Adresler Ağlarda özel amaçlı kullanılması için bir kısım IP adresleri serbest bırakılmıştır. Bu adresler Internet üzerinde geçersizdir. 10. A sınıfı ağı ( /8) B sınıfı ağı ( /16) *. C sınıfı ağları ( *.0/24) 11/19/2018

18 Yönlendirme Bir paketin iki adres arasında taşınmasında “yönlendirme tabloları” kullanılır. Normal bir aygıt için bu tablo, sadece yerel adresleri ARP kullanarak göndermesini, geri kalanları router’a yönlendirmesini söyler Fakat router’lar bağlı bulundukları ağ ile beraber, komşu router’ları ve bunların bağlı bulundukları ağların bilgisini içeren büyük tablolar tutarlar Bu tablolar sayesinde bir paket karıştırılmadan hedefine taşınır. Eğer bir paketin adresi tabloda tanımlı değilse, bunu farkeden router geri haber verir ve bu bilgi paketi ilk gönderene kadar taşınır 11/19/2018

19 Örnek Yönlendirme Tablosu
Yukarıdaki tabloda, 127. ile başlayan adresler makinaya geri dönmekte ile başlayan adresler ilk ethernet kartına ile başlayan adresler ikinci ethernet kartına Geri kalan adresler modem ile bağlı olunan router’a gönderilmektedir 11/19/2018

20 Ağ Güvenliği Ağların korunması gerekir. Çünkü,
Veri ve kaynaklarımızı paylaşmak istemeyiz Veri ve kaynaklarımızın dışarıya karşı güvenliğini sağlamak isteriz Ağımızdaki dış işlemleri sınırlandırmak isteyebiliriz. Bu amaçla, firewall kurulumunu da içeren bir dizi önlem alırız 11/19/2018

21 Kaynakların Gizliliği
Gizli ve paylaşmak istemediğimiz kaynaklar vardır. Belgeler, Internet erişimi, disk alanı bunların içinde sayılabilir. Bunlar içerdekilerin kötü niyeti, kullanılan sistemin güvenlik ayarlarının yanlış yapılması veya güvenlik hataları bulunması sebebiyle, dışarıdan erişilebilirler. 11/19/2018

22 Kaynakların Güvenliği
Ağımızdaki sistemlerin, dışarıdakiler tarafından zarar görmesini istemeyiz. Bu bizzat şahıslar tarafından yapılabilineceği gibi, virüs, kurtçuk (worm), vb. programlarla, büyük düzeyde de gerçekleşebilir. Bunlar sistemin bozulmasını veya yavaş ve sorunlu çalışmasını sağlayabilirler. 11/19/2018

23 Sınırlandırma Ağ içerisindeki dışarıya yönelik işlemleri sınırlandırmak isteyebiliriz. Mesela, Sınırlı olan bant genişliğinin, büyük dosya transferleri ile israf edilmesini, veya iş saatleri esnasında insanların oyun oynamasını veya şahsi mailleri ile ilgilenmelerini, veya, bir ilkokulda “uygunsuz” sitelere girilmesini, engellemek isteyebiliriz. 11/19/2018

24 Şifreleme Servislere erişim için şifre isteyebiliriz.
Bu yöntem çoğu zaman etkili olsa da tek başına yeterli değildir. Özellikle program açıkları veya bilinçsiz kullanıcılar sorun oluşturur. 11/19/2018

25 IP Kısıtlaması Ek bir önlem olarak, verilen servisleri sadece belirli IP adresleri için geçerli olacak şekilde ayarlarız. Fakat program hataları veya saldırganların, IP adresleri konusunda yalan söylemesi, bu yöntemi de yetersiz kılar. 11/19/2018

26 “IP Spoofing” Saldırganlar, kendilerini yerel ağınızdaki bir adrese sahip gibi gösterebilirler Bu durumda IP adresi tabanlı güvenlik sistemleri faydalı olmaz 11/19/2018

27 Program Hataları Her programın bir hatası vardır.
Ve bu hatalar, saldırganların sisteminizdeki diğer servislere de ulaşabilmesini sağlayabilir. Bir sistemin güvenliği o sistemdeki en zayıf program ile ölçülür. 11/19/2018

28 Firewall Bir ağı dış etkilerden koruma amaçlı cihazlardır
Router üzerine veya router ile ağ arasına yerleştirilir Ciddi güvenlik isteyen ağlar için kaçınılmazdır 11/19/2018

29 Firewall Güvenlidir Çünkü;
Bulunduğu konum itibariyle tüm ağ trafiğine hükmeder Üzerinde çalışan yazılımlar güvenlik öncelikli yazılmıştır Üzerinde gerekli olmayan, dolayısıyla güvenlik hatası olabilecek program çalışmamaktadır Standard kurulumda, güvenlik ayarları en sıkı seviyededir Kullanıcıların yaptıkları kötü seçimlerden bağımsızdır 11/19/2018

30 NetFilter / IPTables NetFilter nedir? Geçmiş uygulamalar
NetFilter mimarisi Temel kullanımı Masquerading ve NAT 11/19/2018

31 NetFilter Nedir? NetFilter, Linux 2.4 serisi için hazırlanmış, esnek, güvenilir ve gelişmiş bir IP filtremele / firewall paketidir Esnek kural dizileri yazılmasına izin verir Modüller ile her parçası geliştirilebilir Kullanıcı programları ile ortak çalışma imkanına sahiptir Geniş bir paket tanıma ve işlem yapma kütüphanesi vardır Gerçek NAT destekler 11/19/2018

32 Geçmiş Uygulamalar NetFilter ortaya çıkmadan,
Linux 2 öncesinde BSD’den çevrilen ipf Linux 2.0 serisinde ipfwadm Linux 2.2 serisinde ipchains kullanılmıştır 11/19/2018

33 NetFilter Mimarisi Makinaya gelen, makinadan çıkan veya makina üzerinden yönlendirilecek paketler hazırlanan tablolara göre işlenir Her tablo bir kısım önceden tanımlı zincirler içerir. Ayrıca kullanıcı tanımlı zincirler bulunabilir Her zincir bir kısım kuraldan oluşmuştur Bu işlemlerin sonucuna göre paketler “hedeflere” ulaşırlar 11/19/2018

34 NetFilter Kavramları PAKET: Bir makinaya gelen veya ondan çıkan en küçük ağ veri birimi TABLO: Yapılacak işe göre paketlerin işlenmesini sağlayan bağımsız yapılar ZİNCİR: Paketlerin kaderlerine karar verilmesi için geçecekleri kural dizisi KURAL: Belli özellikteki paketler için karar verilmesini sağlayan ifadeler HEDEF: Paketlerin hakkında olası verilebilinecek kararlar 11/19/2018

35 Tanımlı Tablolar filter: Varsayılan tablo. INPUT FORWARD ve OUTPUT zincirlerini içerir nat: Yeni bağlantı açan paketler için. PREROUTING, OUTPUT ve POSTROUTING zincirlerini içerir mangle: Özel paket “kurcalama” amaçlıdır. PREROUTING ve OUTPUT zincirlerini içerir 11/19/2018

36 Temel Hedefler ACCEPT: Paketin kabul edilmesini sağlar
REJECT: Paketin reddedilip, geri bilgi verilmesini sağlar DROP: Paketin işlenmeyip, gözardı edilmesini sağlar REDIRECT: Paketin makinadaki bir servise gönderilmesini sağlar (sadece NAT için geçerli, “saydam proxy” amaçlı) 11/19/2018

37 Diğer Hedefler LOG: Paketin sistem günlüğüne kaydedilmesini sağlar
ULOG: Paketin kullanıcı programına aktarılmasını sağlar RETURN: Paketin bir önceki zincire geri dönmesini sağlar (fonksiyon dönüşü) MARK: Paketi daha fazla işleme tabi tutulması için işaretler (blok yapısı gibi) MIRROR: Paketi geri gönderir 11/19/2018

38 Hedef Zincir ve Tablolar
Zincir ve tablolar da hedef olarak kullanılabilir. Bunun kullanımı en sık NAT tablosu içindir. Ayrıca aynı tablo içindeki ek zincirler “alt fonksiyon” gibi kullanılabilir. 11/19/2018

39 Zincirler Zincirler sistem yöneticisi tarafından hazırlanan kural dizileridir Her zincirin “varsayılan” bir hedefi vardır. Bu başlangıçta ACCEPT’tir Sistemde önceden, INPUT: Gelen paketler OUTPUT: Çıkan paketler FORWARD: İletilen paketler zincirleri tanımlıdır 11/19/2018

40 Kurallar Her zincir 0 veya daha fazla kural içerir
Kurallar, belirli kriterlere göre paketleri yakalarlar Yakalanan paketler, istenilen hedeflere gönderirlir. Bu hedeflerin bir kısmı paketin zincirden çıkmasını sağlar 11/19/2018

41 NetFilter Kurulumu Linux Çekirdeğinde
CONFIG_FILTER CONFIG_NETFILTER CONFIG_IP_NF_IPTABLES ve istenilen ek moduller açılır netfilter tablolarını düzenlemekte kullanılan “iptables” programı bulunmaktadır 11/19/2018

42 Temel Kullanımı iptables programı
-P ile zincirin varsayılan hedefini seçer -A ile zincire bir kural ekler -D ile zincirden bir kural siler -N ile yeni bir zincir oluşturur -X ile bir zincir siler -L ile seçilen zincirdeki kuralları listeler 11/19/2018

43 Masquerading Birden çok makinanın aynı IP adresini kullanmasını sağlar
Aşağıda basit bir Masquerading konfigürasyonu gösterilmiştir 11/19/2018

44 NAT NAT, Masquerading yönteminin genel ve çift yönlü halidir
Ağ üzerinde kullanılan özel IP adresleri ve ağa ait bir miktar “gerçek” IP adresi vardır Ağ içerisindeki cihazlardan biri dışarıya erişeceği zaman, boş bir “gerçek” IP adresi ile eşlenir Kullanım bitince “gerçek” IP adresi tekrar kullanılmak üzere “boş” durumuna döner 11/19/2018

45 Yük Dengeleme NAT kullanımının içeriye yönelik olanıdır
Aynı servisi veren birden çok sunucu için tek bir “gerçek” IP adresi bulunur NAT hizmet isteği geldikçe, hedef adresi bu sunuculardan birine yöneltir Böylelikle tek bir sunucu ile karşılanamayak yük karşılanır 11/19/2018

46 Gelecek VLAN (IPSec, Tunnelling) IPv6 11/19/2018

47 IP Güvensizdir IP, verileri “açık” olarak iletir. Güvenlik için aradaki taşıyıcılara güvenir Dışarıdan birisi, firewall kuralları sağlamsa, trafiği izleyemez veya değştiremez Fakat, bir yerel ağa veya routera erişimi olan herkes verileri izleyip, onları değiştirebilir 11/19/2018

48 Tunneling Bu amaçla kritik uygulamalarda iki nokta arasında tünel denilen güvenli bağlantılar kurulur Bu bağlantılar HTTP gibi protokolleri taşırlar Fakat IP üzerine ek bir katman olarak gelen bu tüneller veriyi gizler ve karşı tarafı tanır 11/19/2018

49 VLAN Eğer bu tüneller bir servis için değil, fakat iki ağı bağlamak için ise VLAN adını alır VLAN içindeki makinalar bir yerel ağa bağlı gibi çalışırlar VLAN’ın fiziksel parçaları arasındaki trafik, güvensiz IP katmanı üzerine kurulan, tüneller vasıtasıyla taşınır 11/19/2018

50 Adres Yetersizliği Özellikle B tipi adresler yüzünden olası 4 milyarlık adres alanı israf edilmiştir ve adres sıkıntısı çekilmektedir Şu anda geçici çözümler oluşturulmuş olsa da, bunlar genellikle çok büyük yönlendirme tabloları gibi sorunlara yol açmaktadır 11/19/2018

51 IPv6 IPv6, Internet protokolünün altıncı sürümüdür
En önemli özelliği 128 bit adres alanına sahip olmasıdır Dolayısıyla dünyadaki herkes, şu an Internete bağlı tüm cihazların sayısı kadar adres alsa yeterli olacaktır 11/19/2018

52 Diğer IPv6 Özellikleri IPv6 IPSec katmanını içermektedir.
IPv6 paketleri, sabit uzunlukta ve kolay işlenebilir başlıklara sahiptir IPv6 Gigabit ethernet gibi yüksek hızdaki teknolojilerden en iyi faydalanacak şekilde hazırlanmıştır IPv6 sorunsuz şekilde IPv4’den geçisi sağlar. Sistemlerin bir geçiş sürecinde kapalı kalması gerekmez 11/19/2018

53 Katılımcılarımıza Teşekkür Ederiz...
TCP/IP Ve NETFILTER Katılımcılarımıza Teşekkür Ederiz... 11/19/2018